Il decreto-legge sul tracciamento digitale dei contatti: c'è ancora molto da fare

di Enrico Nardelli

È stato pubblicato nella Gazzetta Ufficiale il decreto-legge 30 aprile 2020 n.28 che contiene all'articolo 6 la norma per l'istituzione del sistema di allerta Covid-19, cioè di «una piattaforma unica nazionale per la gestione del sistema di allerta dei soggetti che, a tal fine, hanno installato, su base volontaria, un'apposita applicazione sui dispositivi di telefonia mobile». Si tratta del sistema per il tracciamento digitale dei contatti di cui molto si è parlato nelle scorse settimane.

Ravviso prima di tutto alcuni elementi di confusione sul reale stato della situazione. Nei giorni passati è stato dato ampio risalto al fatto che il Governo, sulla base delle valutazioni del "Gruppo di lavoro data-driven per l’emergenza COVID-19" nominato dal Ministro per l'Innovazione Tecnologica e la Digitalizzazione, aveva già scelto una soluzione per il tracciamento digitale dei contatti. Infatti, il Commissario Straordinario per l'attuazione e il coordinamento delle misure di contenimento e contrasto dell'emergenza epidemiologica Covid-19 con ordinanza n.10/2020 del 19 aprile 2020 aveva disposto «di procedere alla stipula del contratto di concessione gratuita della licenza d’uso sul software di contact tracing e di appalto di servizio gratuito con la società Bending Spoons S.p.a.».

Adesso il decreto, senza far alcun riferimento alla suddetta ordinanza né agli esiti del gruppo di lavoro, parla di «istituzione». Questo termine, nella mia interpretazione, sembrerebbe indicare che, a valle del decreto stesso, si dovrebbe procedere alla valutazione ed alla scelta della soluzione tecnico-organizzativa più idonea, che però l'ordinanza ha già scelto. Non essendo un giurista, sarò lieto di apprendere da chi ne sa più di me in quest'ambito.

Ho analizzato il decreto-legge sulla base dei criteri che, descritti da più parti a livello nazionale ed internazionale, sono ritenuti necessari per poter adottare una soluzione di questo genere, che va ad incidere in modo particolarmente rilevante su diritti e libertà fondamentali.

Li avevo riportati sinteticamente in questo mio post e li userò come guida per analizzare il decreto in questione, richiamando in diversi punti l'ottima analisi già sviluppata da Andrea Lisi e Fulvio Sarzana.

• Un approccio sistemico che tenga conto di tutti gli aspetti della gestione di un'emergenza sanitaria, che non sono solo medici, ma anche organizzativi, sociali e legali, per non parlare di quelli economici: il decreto non ne parla, probabilmente perché vuole essere strettamente tecnico, ma in un caso di questo genere considerare soluzioni tecniche senza un'analisi a 360 gradi rischia di essere miope. Tale punto è stato anche sollevato in modo chiaro e dettagliato nell'analisi sopra citata.
• Una legislazione ordinaria che precede le misure straordinarie: criterio solo in parte soddisfatto, considerato che il decreto-legge dovrà essere convertito in legge e che in esso viene data un'ampia delega sui modi e tempi del trattamento dei dati raccolti al Ministero della Salute, che non mi pare (non sono un giurista e potrei sbagliarmi) sia fonte di legislazione ordinaria.
• Un'analisi dell'efficacia della strategia considerata prima della sua effettiva adozione: questa non appare sia stata svolta. Non solo perché non viene descritto come la realizzazione di tale piattaforma e dell'applicazione si coordina con una visione complessiva della gestione dell'emergenza, ma anche perché «gli ulteriori adempimenti necessari alla gestione del sistema di allerta» non vengono dettagliati ma delegati al Ministero della Salute.
• La valutazione dell'impatto complessivo, soprattutto in termini di relazioni sociali: come già osservato tale valutazione viene rinviata ad un momento successivo, mentre la considerazione dell'impatto sugli aspetti sociali, come analizzato qua, è un elemento assai importante da tener presente.
• La valutazione dei rischi nel mantenimento della privacy: il decreto contiene la previsione di raccogliere «i dati personali ... esclusivamente ... necessari ad avvisare gli utenti dell'applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi», precisando che «è esclusa in oni caso la geolocalizzazione dei singoli utenti» e che viene garantita «la riservatezza ... dei sistemi e servizi di trattamento nonché misure adeguate ad evitare il rischio di reidentificazione degli interessati», conservando i dati «per il periodo strettamente necessario al trattamento», vietando che siano «trattati per finalità diverse» da quelle previste dal decreto stesso e facendo sì che siano «cancellati in modo automatico alla scadenza del termine». Però, per quanto riguarda il periodo di trattamento si dice (comma 2, sub e) che «la durata è stabilita del Ministero della Salute» quando ritengo che sarebbe stato più opportuno definire tale termine nel decreto stesso. Inoltre, ciò mi pare non sia del tutto coerente con quanto previsto al comma 6: «ogni trattamento dei dati personali effettuato ai sensi del presente articolo è interrotto alla data di cessazione dello stato di emergenza disposto con delibera del Consiglio dei ministri del 31 gennaio 2020, e comunque non oltre il 31 dicembre 2020». Infine non vi è una valutazione del rischio che quanto stabilito del decreto possa essere invalidato sia da attacchi intenzionali che da eventi accidentali. Dobbiamo sperare tali rischi verranno analizzati dalla valutazione di impatto promessa.
• La valutazione del rischio a cui vengono esposti i cittadini: il decreto impone al Ministero della Salute di adottare «misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà personali». Non è previsto alcun controllo su tali misure né da parte di organismi tecnico-scientifici indipendenti (al di là del Garante della Privacy) né da parte di rappresentanti della società civile. Riconoscere che ci sono «rischi elevati» e non prevedere misure per la loro mitigazione (che sono l'ABC della gestione dei rischi in ogni ambito) non sembra molto lungimirante. Non possiamo che sperare che nella definizione di tali misure sia presente una valutazione di tali rischi, dal momento che le tecnologie (non ancora specificate) che verrano utilizzate per rilevare i «contatti stretti» presentano un elevato grado di vulnerabilità, soprattutto se, come accade di solito, i dispositivi digitali personali non sono tenuti costantemente aggiornati.
• La definizione di misure di mitigazione del divario digitale che rischia di emarginare le fasce sociali più deboli: non trovo traccia di questi aspetti, a meno che - come per altri punti - non siano demandati alla successiva valutazione di impatto.
• La trasparenza sulle scelte tecnico-organizzative e sui processi decisionali: sostanzialmente viene tutto delegato al Ministero della Salute in coordinamento con gli altri soggetti rilevanti (sentito il Garante per la privacy), richiedendo solo di «informare periodicamente la Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano sullo stato di avanzamento del progetto».
• Il coinvolgimento dei cittadini a livello di comunicazione: spiegare adeguatamente alle persone cosa si sta facendo e perché, in un caso di questo genere in cui è in gioco la loro privacy è assolutamente necessario, data la volontarietà (giustissima!) dell'utilizzo dell'applicazione e la contemporanea necessità di raggiungere elevati livelli di diffusione nella popolazione per poter avere efficacia. A tal fine la semplice previsione che «gli utenti ricevano, prima dell'attivazione dell'applicazione, informazioni chiare e trasparenti» appare insufficiente, alla luce del comportamento tipico degli utenti all'atto dell'installazione delle applicazioni, che tendenzialmente accettano l'informativa iniziale senza leggerla in detaglio.
• La necessità di interoperabilità a livello di Unione Europea: non trovo traccia nel decreto di questo requisito, esplicitamente auspicato prima dalla Commissione Europea nella Raccomandazione 2020/518 dell'8 aprile 2020 e poi dal Comitato Europeo per la protezione dei dati, al n.3 delle linee-guida 04/2020 del 21 aprile 2020.

Da un punto di vista più strettamente informatico, il problema fondamentale di tutto l'impianto del decreto-legge è che è stato scritto come se decenni di insuccessi più meno marcati nello sviluppo di sistemi informatici, nella Pubblica Amministrazione e nelle aziende, non fossero mai avvenuti e se fossimo all'anno zero della trasformazione digitale, senza aver capito che quella informatica è un’automazione radicalmente differente da ogni altra e che richiede un approccio diverso.

Viene avviata la realizzazione di un sistema informatico estremamente delicato, sulla base di specifiche non definite (p.es.: quale tecnologia si usa per l'identificazione dei contatti stretti? la valutazione delle condizioni di allerta e la sua effettiva emissione vengono effettuate in modo centralizzato o decentralizzato?) e senza dire niente sul relativo processo di realizzazione. Sono previste fasi di sperimentazione, validazione e valutazione di efficacia? Con che tempi? Dove e come? Non si sa.

E sì che ormai l'ingegneria dei sistemi informatici, anche se non ha ancora raggiunto il livello di solidità dell'ingegneria tradizionale, almeno un paio di principi universalmente condivisi li ha messi a punto: l'approccio iterativo (o "agile", nella terminologia inglese) e il coinvolgimento di tutti i portatori di interessi sono colonne portanti di qualunque approccio alla realizzazione di sistemi informatici che voglia avere buone possibilità di successo. Qui sembrano del tutto ignorate.

Come finirà? I miracoli sono sempre possibili, soprattutto in Italia, ma, alla luce delle esperienze passate, il bene del Paese richiederebbe maggiore attenzione.